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(54) Verfahren zur automatischen Erzeugung einer Steuerung 

(57) Es wird ein Verfahren beschrieben, das die Generierung 
einer Steuerung aus einer anwendungsnahen, formalen 
Spezifikation unterstutzt. 

Das Verfahren ermoglicht die Erzeugung von Steuerungen, 
die spezifizierte Sicherheitsbedingungen erfullen, und zwar 
so, da& der GenerierungsprozeS deren Einhaltung garantiert. 
Konstrukte zur Spezifikation sequentieller und paraJleler 
Ablaufe sind vorgesehen, die es eriauben, nur gerade die 
funktional gewunschten Aspekte zu beschreiben, so da& 
eine klare Trennung von Sicherheit und Funktion moglich ist. 
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Beschreibung 

h J?i C ratione, ! e En ^kh.ng zuverlassiger Software fur reaktive Systeme, wie es Steuerungen aller Art sind, ist 
heute vorran^ges Zjel. F,g. 1 ze.gt in Pnnz.pbild eines Systems bestehend aus einer Steuerung und einem zu 
5 Der SZZSZ^tZ! ST*^P ™ sei". daB der ProzeB nur zulassige Zustande einnimmt 

2™ a S f Eingangen Emgangswerte, z. B. Sensorwerte, zugefiihrt, die im folgenden Ein- 

f ^-nT g ?T5 W i rd o a ^ den Ausgangen gibt die Steuerung Ausgangswerte, im folgenden Ausgangs- 
h g ^ nannt * ab '- d,ede " P™ 2 ? 6 so beeinflussen, daB er nur die zulassigen Zustande annehmen kana 
,o zu beachtem OSramni,erUng derartlger spe'cherprogrammierbarer Steuerungen sind jeweils folgende Vorgaben 

- die Funktionsweise der zu steuernden Gerate oder Prozesse - d. h. was bewirkt jeder einzelne Aus- 
gangszustand der Steuerung, und wie sind die Sensorwerte, die der Steuerung gelief ert werden^zulnterpre- 

15 - die von der Steuerung zu realisierende Funktion; z. B. Bewegungsablaufe. 

7 t J~ n / OT ^ nde u e ? inschrankende Sicherheitsbedingungen; z.B. sind bestimmte Kombinationen von 
Zustanden, oder bestimmte geometrische Konfigurationen zu vermeiden, bestimmte Aktoren dQrfen nur 
aktiviert werden, wenn zugehdrige Vorbedingungen (Verriegelungen) erf iillt sind etc. 

20 b^Lh^n^Sf^iH? iCWeils " untersch!edl . ich er, meist informeller Form vor. Das technische Problem 
besteht nun dana erne Steuerung so zu programmieren, daB sie den Vorgaben entspricht 

^ensatz zu regelungstechnischen Aufgaben, bei denen die Theorie abhangig von ProzeBmodellen 
mlerwerdi } Rege,ungsa,gori ^ en "ennt, mussen diskrete Steuerungsaufgabln jeweEu p^ograni- 

^Jl?^Tf e ^ s Pf ic |> e T»' 0 S r '» K »™erbarer Steuerungen geschieht heute in der Weise, daB der Pro- 

Sm P SiSr "k d dCT Sfcherh t itSbed J ngUngen zu garantieren. Ma. W„ der Zusammfnh^z^hen 
dem Programm und den oben genannten Vorgaben ist nicht explizit dokumentiert *wi 5C nen 

^iSSil ? ™ r C l o m Vorgehen , ist ** Fehleranfalligkeit, denn schon bei mittelgroflen Systemen ist die 
J£n ™V1 T 8 ^ ,c K hen . Svst ™tande praktisch unuberschaubar groB; so werden nahlzu imme^Falle ube«e! 
^ ^"ebnahme mussen mit erhebiichem Aufwand Programme umgeschrieben werden. 
35 I imlh gra r , « r P nder ,st da ? P'ob'em, daB jedes Umschreiben, sei es wegen einef Fehlers, ™ geanderter 
Umgebungsbedingungen oder wegen neuer Anforderungen, die ganze Software betrifft - d h es SbTkSnen 

nt?SES*e* e AUSWirkungen elner l °™ ha '« <Ar •** nur die von einer aJ^SSSE 

^ be efn e ^.?™ KCgt Aufgabe zu S™nde, aus einer anwendungsnahen Spezifikation einer Steuerungsaufga- 
W^SfS 8 ^ Cr ^ g !. a D,eSC Aufgabe gemafi den Merkmalen von Patentanspruch 1 gelost 
Weiteribddungen der Erfindung ergeben sich aus den abhangigen Patentanspruchen. 

45 1- Grundsatzliche Darstellung der Erfindung 

1.1 Grundkonzepte vonCSLxt 
so K^iSZSS^^^ ^ ^ fQr reakti - Systeme immer mit den fo.genden 

— Beschreibung der zu steuernden Prozesse, 

— Beschreibung der gewunschten Funktion des Gesamtsystems, und 

— Sicherheitsanforderungen. 

55 

CSLxt umfaBt zum einen Sprachmittel, um die drei Komponenten der Spezifikation zu beschreiben. zum 
anderen die zur Generierung der Steuerung notigen Verfahren. oescureioen, zum 

Die tragenden Grundelemente des Ansatzes sind: 

60 — die Spezifikation mit dem Konzept der endlichen Automates 

— dieUnterscheidung zwischen beeinfluBbaren und nichtbeeinfluBbaren ZustandsgroBen, und 

— die Konstruktion einer Steuerung durch It rationsverf ahren. 



25 



30 



65 



Dem Verfahren h gt di Vorstellung zugrunde, daB auf jedes Ereignis im ProzeB, <L h. jede Anderumr der 
Semorwerte, erne Reaktion der Steuerung, d. h. eine Anderung der Aktor-Stellungen (Au^KwSSSS 
Das Zusammenwirken von Steuerung und ProzeB wird als in Zwei-Personen-S^e! LfSXSbMd 
Steuerung ein bestimmtes Z.el verfolgt - namlich Sicherh it und Funktion zu garantierei^ T-7walS der 
ProzeB als "Gegensp.ele.- dieses Ziel im ungunstigsten Fall zu verhindern sucht, jed nfaUs aber iiidTS^M 
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Nun wird das Verhalten des Prozesses (bzw. der Prozesse) als gegeben angenommen, die durch Sensorwerte 
beschriebenen ZustandsgroBen sind nicht (direkt) beeinfluBbar. Dagegen sind die Aktoren von der Steuerung 
beeinfluBbar. Das Verhalten der Steuerung -dh. hier die Obergangsfunktion des Automaten, der die Steue- 
rung beschreibt-, wird aus der Spezif ikation des Ziels synthetisiert 

Dieser gesamte GenerierungsprozeB lauf t wie folgt ab: 5 

1. Definition eines nicht-deterministischen Automaten, der alle physikalisch moglichen Verhaltensweisen 
beschreibt 

2. Deschreibung der erlaubten Zustands-Obergange. 

3. Etnschrankung des durch 1. und 2. beschriebenen Automaten auf einen, der die Sicherheitseigenschaften 10 
erfullt 

4. Einschrankung dieses Automaten auf einen, der die Funktion erfullt 

Die letzten beiden Konstruktionsschritte machen intensiven Gebrauch von Iterationsverfahren im Zustands- 
raum des Gesamtsystems. Dies kann verstanden werden als ein Vorausschauen der Steuerung auf die moglichen is 
"SpielzGge". Hierin unterscheidet sich CSLxt wesentlich von den meisten anderen Spezif ikationsmethoden fiir 
reaktive Systeme, die die Obergangsfunktion eines Automaten zwar auch berechnen, aber dabei immer nur 
einen Schritt (einen "Zug", eine Transition) betrachten. 

Das Verfahren zu 3. ist gekennzeichnet durch die folgenden Arbeitsschritte: 

20 

— Es wird die (in einem zu prazisierenden Sinne) groBte stabilisierbare Teilmenge der als zulassig (sicher) 
spezifizierten Zustandsmenge iterativ bestimmt 

— Die Obergangsfunktion wird dadurch eingeschrankt, daB nur Obergange zu sicheren Zustanden erlaubt 
werden. 

25 

Das Verfahren zu 4. ist durch die folgenden Schritte gekennzeichnet: 

— die Funktion wird durch Angabe bedingter Zielzustande beschrieben. 

— Es wird iterativ die Menge all derjenigen Zustande bestimmt, von denen aus der Obergang in einen 
Zielzustand in endlich vielen Schritten erzwungen werden kann. 30 

— Die Obergangsfunktion wird dadurch eingeschrankt, daB, wenn immer mdglich, solche Obergange 
ausgefuhrt werden, die "naher" an den Zielzustand fuhren. Ein Zustand a ist dabei dem Ziel naher als ein 
Zustand b, wenn von a aus weniger Schritte als von b aus benotigt werden, um in den Ziel zustand zu 
gelangea 

— Bei der Berechnung dieser Zustandsmengen wird berucksichtigt, daB fur das Verhalten des gesteuerten 35 
Prozesses wohldefinierte "Fairness"-Annahmen gelten, d. h. daB bestimmte Ereignisse jeweils nach einer 
nicht bekannten, aber endlichen Anzahl von Schritten eintreten mussen 

\2 Beispiel Hubdrehtisch, Fig. 3 

• 40 

Zur Illustration der Erf indung dient ein einfacher Hubdrehtisch, der hier kurz beschrieben wird: 
Die Funktion des Hubdrehtisches ist es, ein Teil, das von einem Zufuhrband kommt, in eine Position zu heben 
und (um eine vertikale Achse) zu drehen, in der es dann ein Roboter greifen kann. 

DemgemaB gibt es die Befehle up, down und stop fiir die vertikale Bewegung sowie rotate_p!us (abgekiirzt 
rot^plus), rot minus, rotstop fur die Drehbewegung. 45 

Es gibt zwei Lichtschranken low" und "high" fur die vertikale Position, sowie ein analoges Signal, das den 
Drehwinkel meldet Fur die Eingange machen wir jedoch durchgangig folgende vereinfachende Annahme: eine 
Schnittstellenkomponente auBerhalb der hier spezifizierten Steuerung setzt die Eingangswerte so um, daB fur 
die beiden Dimensionen jeweils genau einer von drei moglichen Werten vorliegt, namlich low, betwe- 
en_low_high, oder high, und rotO, between_rot0_rot45, oder rot45. 50 

Damit arbeiten wir ef fektiv mit diskretisierten (qualitativen) Werten. 

Die Positionen (low, rotO) bzw. (high, rot45) entspricht dabei der SteUung, in der ein Teil vom Zufuhrband 
aufgelegt bzw. vom Roboter weggenommen werden kann. 

Folgende Sicherheitsanforderungen sind beim Hubdrehtisch zu beachten: 
"In der unteren Stellung (Sensor low = on) darf der Tisch nicht rotiert werden" (weil namlich der Tisch sonst mit 55 
dem unmittelbar angrenzenden Zufuhrband kollidieren wurde) bzw. im vorliegenden Kontext gleichbedeutend: 
"In der unteren Stellung (low) ist nur der Drehwinkel 0 (rotO) zulassig" (Siehe Fig. 2, schraffierter Bereich = 
verbotene Zustande). 

Fur die Bewegung des Hubdrehtisches ergibt sich daraus, daB zwar eine gieichzeitige Bewegung nach oben 
und Drehung moglich ist, aber erst nachdem die Hohe between_low_high rreicht wurde. Diese Art Einschran- eo 
kung ist typisch fur vieie in der Automatisierungstechnik auftretende Parallelablauf e. 

Z ProzeBmodellierung in CSLxt 

Als Voraussetzung fQr die Konstruktion einer sicheren und korrekten Steuerung wird eine Beschreibung der 65 
Ablaufe im (ungesteuerten) ProzeB verwendet, di im folgenden erlautert wird. 
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2.1 Vorgaben zur Anwendung von CSLxt 
Bei den Zustandsattributen der Steuerung sind zu unterscheiden: 

- Emgangszustande Oder Sensorzustande, die direkt von auBen gesetzt werden konnen. 

- Ausgangszustand e .d.edirektdenProzeBbeeinflussen,und * 

- innere Zustande oder Steuerzustande. 

sensor_zustaende : [ 

vertical_pos: [ low, between_low_high, high ], 
rotary_pos: [ rotO, between_rot0__rot45, rot45 ] 
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ausgangs__zustaende: [ 

moving_state: [ stop, up, down ], 

rotation^state: [ rot.stop, rot^plus, rot_minus ] 

J 9 

22 ProzeBmodellierung mit Constraints 

Insofern ist die eingefiihrte UnferoteiX ^^%^Z^ g ^ T A^ n& der Km ^ n ^ m°g»ich sind. 
Zustanden die Basis LsProLtoodelb g ZWlSchen ^ngszustanden, Ausgangszustanden und inneren 

Pn>zeBmodeIls wird jEKtJ^T^fKi^^* 6 praktische Notation des 
sicht ist dasProzeBmodell iascWicSrin H-EE!* Sichtweise nicht explizit macht Aus Benutzer- 

im folgenden voSa fn^n" hSCteSTn^ ^angszustanden _ die 

h D a«^e& 
isSet^ 

Richtung vorjn die sich eSSinlTS^ 

dann vor, wenn a,s Aktor ein Motor -^BEBSS^^ 

process_deecription: [ 

qual_deriv : [vertical_pos (low, between_low__high, high), 
moving_state(stop, up, down)] 

ste^nei ^Z^n^^^-^ * Abtota « Attribu * verticals dar- 

Es werden naturlich neben qual_deriv weitere Varianten gebraucht, z. B. fur mehr als drei W rt-Intervalie, 
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evtL fur Motoren mit mehr als einer Geschwindigkeit, aber auch fur Zusammenhange anderer Art Allerdings 1st 
der Anwendungsbereich des hier vorgestellten qual_deriv und seiner engen Verwandten grdBer als es die 
Vorstellung von einem "Motor" und einer mechanischen Position suggeriert 
Weitere Beispiele, die ebenfalls als qualitative Ableitung beschreibbar sind, umfassen: 

5 

— Ventilstellungen bzw. Pumpen als Aktoren und Fullstand-Sensorcn, 

— Heizung bzw. Kuhlung als Aktor und Temperatur-SensoreiL 

Nach dem hier vorgeschlagenen Konzept braucht also der Benutzer zur Spezifikation des ProzeBmodells die 
einzelnen Zustandsubergange nicht detailliert zu beschreiben, sondern iediglich die vordefinierten qualitativen io 
Constraints wie z. B. qualderiv verwenden. Das ProzeBmodell fur den Hubdrehtisch besteht dabei aus genau 
zwei Constraints, namlich dem oben genannten und einem entsprechenden f Or die Rotatioa 

Dies ist ein zusatzlicher Aufwand, der fur die pure Erzeugung einer Steuerung nicht notwendig ware und in 
heutigen Steuerungssprachen daher auch nicht ublich ist Er wird aber durch den Nutzen der automatischen 
Generierung gerechtfertigt , 5 

3. Generierung der Steuerung mit Sicherheits-Eigenschaften 

Im folgenden wird ausgefuhrt, wie aufgrund der Spezifikation einer Sicherheitseigenschaft ein Automatenpro- 
gramm so zu transform i ere n ist daB es diese Eigenschaft erf Gilt Unter Sicherheitseigenschaft wird dabei eine 20 
beliebige aussagenlogische Bedingung in den ZustandsgrdBen eines Automaten verstanden. 

3.1 Spezifikation von Sicherheitseigenschaften 

Ein Sprachkonstrukt das zu diesem Zweck in CSLxt eingefuhrt wird, heiBt "safetyrequirements" und kann 25 
etwa wie folgt aussehen. 

Die Semantik ist einfach dadurch definiert, daB die angegebene Bedingung in jedem erreichbaren Zustand des 
Automaten gelten solL Es ist dabei belanglos, ob mehrere Bedingungen oder eine Konjunktion von Bedingungen. 
angegeben wird — unter praktischen Gesichtspunkten (debugging) ist eine Liste von (evtL auch benannten) 
Bedingungen vorzuziehen. ^ 

saf ety_re<iuirements s 

/* SAFETY REQUIREMENTS 

*/ 

Xm folgenden steJit V fur logisches "UND« , ==> fur logische 
Implikation 

/* Teil 1: Tisch wird nicht tiefer als "low" abgesenkt */ 
nicht (vertical_pos = low /\ moving_state s down) 

/* ... (analog fuer die anderen Grenzen ) */ 

/\ 

/* Teil 2: Tisch wird in der Stelliing "low" nicht gedreht */ 
(vertical, pos = low) ==> 

(rotation_state = rot_stop A rotary_pos = rotO) 
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/* END SAFETY REQUIREMENTS 

55 

32 Ldsung durch ein Minimax-Verfahren 

Es wird nun das System aus Steuerung und gesteuertem ProzeB als ein Zwei-Personen-Spiel zwischen der 
Steuerung und dem gesteuerten ProzeB, wie folgt, betrachtet: so 
Abwechselnd mach n die Spieler, Proc (ProzeB)und Ctrl (Steuerung) ihre Zug . Ziel des Spielers Ctrl ist es, 
innerhalb der als sicher definierten Zustande zu bleiben. Proc agiert blind — um den ungunstigen Fall zu 
beherrschen, wird aber ein "Gegenspieler" eingefuhrt, der versucht, in einen unsicheren Zustand zu koxnmen. 
Jeder Spieler wird die mdglichen Gegenzuge berucksichtigea Aus der Spieltheorie sind Minimax-Algorithmen 
als Verfahren bekannt, die fur jeden Spieler in dieser Situation die optimale Strategic beschreiben. 65 

A priori g geben ist ein Sicherheitsanf orderung (safety_requirement) SR wie in 3.1. angegeben, und Aufgabe 
der St uerung ist s, deren Einhaltung zu garantieren. Es genugt aber nicht, unmittelbare Zustandsanderungen in 
Zustanden auBerhalb SR zu vermeiden, wie das Fig. 4 verdeutlicht, die eine graphische Darst llung der auf einan- 
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grau unterlegten Kreise stellen Zustande ZG dar S 2£$S£L rneSnH l"^ t^™* ^ 
in eincn grauen Zustand, kann nicht niehr garantiert* ^erden^B es rinta I f ko ™™ da * System 

Dabei ist zu beachten: 

~ £ dem £*f am ^ Zug ist - ist g efa hriich, falls es einen gef ahrlichen Folgezustand eibt. 

- Em Zustand, m dem Ctrl am Zug ist, ist gefahrlich, falls alle Folg^ustande gSch sS * 

gefaLi we^ 'fata Ta d df2VaS a.TzG?We'& 203^^1^ * ^l 202 w5Wen ^ ^2 £ 

z r»?^^ den der 

Of fensichtlich besteht acx(P) aus 

so^c 611 ZuStanden - m denen die Steuerung am Zug ist, sofern es wenigstens einen Fo.gezustand in P gibt, 
- alien Zustanden, in denen der ProzeB am Zug ist und fur die jeder Folgezustand in P i st 
Jur iede Zustandmenge P bezeichne die -groBte stabilisierbare Teilmenge von P- die groBte Menge Q f flr die 

50 

Q ist in P enthalten und 
Q ist in acx(Q) enthalten. 

as bef^e'we"^ ^ ^ ^ilisierbare Teilmenge, einer be.iebigen Zustandsmenge 

Verfahren zur Konstruktion der groBten stabilisierbaren Teilmenge 
Es sei P eine Zustandsmenge. 

1. SetzeQ 0 := P 

2. WiederhoIeSchritt3solangebisgiltQi = Oi+i 

3. SetzeQ i+ ,:=acx(Qi)nQi 
( n steht fur den Durchschnitt zweier Mengen) 

Verfahren zur Konstruktion einer sicheren Steuerung 

1' Sf ! := M ~ s £ ee d f 1 z V st ? nde ' die die spezifizierten safety requirements erfullea 
2. SeteeG := groBte stabilisierbare Teilmenge von SR enuuen. 

50 aerb Gfilgt!" 6 FUnkti ° n ^ StCUerUng S °' daB 2U Zu *and immer ein Folgezustand gewahlt wird, 

Ergebnis des Verfahrens 

^^^S^^^^Z S die TZ*" **. erffi,,bar - Andernfalk *™ tiert 

dieinnerhalbderZus^menge^ 

4. Spezifikation der Funktion 

CSl^ct kennt zwei sich erganzende Sprachmittel zur Beschreibung f unktionaler Eigenschaf ten: 

a) Spezifikation durch explizite Angabe vonTransitionen 

b) Deklarative Spezifikation durch Angabe bedingter SoIIzustande. 
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Punkt a) erfordert kein neues Verfahren und wird daher nur kurz behandeit (Abschnitt 4.1). Punkt b) ist eine 
Innovation von CSLxt und wird in Abschnitt 4.Z dargestellt 

4.1 Explizite Spezifikation 

5 

Dteser Abschnitt zeigt, wie die Funktion einer Steuerung beschrieben werden kann, so da8 fur die Einhaltung 
von Sicherheitseigenschaften das Verfahren aus Abschnitt 3. zum Einsatz kommen kann. 

Zulassige Obergange der Steuerung konnen z. B. in der gangigen Petri-Netz-Notation wie in Fig. 5 beschrie- 
ben werden. Dabei steht jeweils ein Kreis fur einen Zustand der Steuerung, ein waagrecht er Strich fur einen 
mdglichen Obergang (Transition). Neben den Zustanden stehen Aktionen (Ausgangswerte) der Steuerung, io 
neben den Transitionen Vorbedingungen, die zum Zeitpunkt der Transition erf fillt sein mussen, wie z. B. Sensor- 
Informationen. 

Das Ergebnis des Minimax-Verfahrens besteht in diesem Beispiel darin, daB an der ira Diagramm mit ** 
bezeichneten Stelle automatisch eine zusatzliche Vorbedingung eingebaut wird, die das Einhalten der Sicher- 
heitsbedingung (erst drehen, wenn vertikale Stellung im sicheren Bereich ist) garantiert Wird die Automatenta- is 
fel durch solche explizite Transitionen beschrieben, schrankt dies die Freiheiten ein, die fur die Generierung der 
Sicherheit gebraucht werden. LaBt die explizite Spezifikation keine solchen Freiheiten, kann die Sicherheitsge- 
nerierung nicht mehr arbeiten. Ihr Ergebnis ware dann 

— entweder sind die Sicherheitseigenschaften ohnehin erf QHt 20 

— oder sie kdnnen auch durch das Iterationsverfahren nicht erfullt werden; dieses liefert dann das Ergebnis 
"not okay". 

Daher ist bei der expliziten Spezifikation darauf zu achten, daB keine unnotigen Details festgelegt werden, 
sondern die Freiheiten, die aus technologischer Sicht bestehen, auch in der Spezifikation bestehen bleiben. 25 

42 Deklarative Spezifikation 

Im folgenden wird das Sprachmittel vorgestellt, das CSLxt zur deklarativen Spezifikation der funktionalen 
Eigenschaften bietet Angestrebte Vorteile sind dabei 30 

— Komplexitatsreduktion, d h. Vereinfachung der Spezifikation durch Konzentration auf das Wesentliche, 
daher 

— Elimination von Fehlerquellen, 

— anwendungsnahe Formulierung der funktionalen Eigenschaften. 35 
Das Konstrukt hat die Form 

function: [Prael — Targetl,Prae2 — Target2,...] 

40 

dh.es wird eine Liste von Paaren angegeben. Prael, Targetl etc. stehen dabei fur beliebige CSLxt-Bedingun- 
gen. Die Semantik dieses Konstrukts ist beschreibbar wie folgt: 

Targetl usw. geben die Soli- oder Zielzustande an. Ein Sollzustand wird jeweils abhangig von der zugehorigen 
Vorbedingung Prae aktiviert Genauer gilt fur jedes Paar Prae — Target: 

Solange Prae gilt, wird die Steuerung versuchen, einen Zustand herzustellen, in dem Target gilt Dieser wird erst 45 
verlassen, wenn Prae nicht mehr gilt 

Im einfachsten Fall sind die Bedingungen Prael, Prae2 usw. paarweise disjunkt — dies entspricht dem 
Umschalten zwischen verschiedenen Betriebszustanden. Es muB jedoch nicht der Fall sein. 

Die Funktion des Hubdrehtischs wird mit dem function-Konstrukt wie folgt beschrieben werden: 

50 

function: [ 

part_present ist ja - 

vert ica 1 pos = high a rotary_pos= rot 45 55 
part__present ist nein - 

vertical^. pos= low a rotary_ pos= rotO 
] 60 



Fur jedes Paar Prae — Target wird ine separate Iterationskonstruktion durchgefuhrt wie unter 43. beschrie- 
ben. Sie liefert als Ergebnis — wie fur die Sicherheit — folgende Informationen 65 

— Anfangszustand okay oder nicht okay, und 

— Obergang okay oder nicht okay. 
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Falls beide Prufungen "okaf ergeben, erf Gilt die resultierende Steuerung per Konstruktion die funktionale 
Eigenschaft. Andernfalls wird dies nicht garantiert 

4.3 Verfahren zur Funktions-Generierung 

In diesem Abschnitt wird der Algorithmic zur Generierung der f unktionalen Eigenschaf ten beschrieberL 
Verwendete Bezeichnungen 

- Delta bezeichne die Obergangsrelation der Steuerung. Diese ist zu Anfang vorbelegt mit einer Relation, 
io Jevorgegebene Emschrankungen darstellt, wie etwa nach Abschnitt 3 konstruierte Sicherheitseigenschaf- 

Im Verlaufe d« Verfahrens wird Delta weiter eingeschrankt, und bei erfolgreichem Ende des Verfahrens 
druckt sie amSchluB gerade die Ldsung aus, <L h. die Steuerung, die die verlangte Funktion garantiert 

- Fain bezeichne die Menge, die durch folgende Bedingung gekennzeichnet ist: "der aktuelle ProzeB- 
is schritt besteht in einer Aktion der i-ten ProzeBkomponente*. Diese Bedingung wird auch als (i-te) Fairness- 

Bedingung bezeichnet Hierin spiegelt sich die implizite Voraussetzung, daB jede unabhangige Komponente 
des Frozesses immer wieder", d h. jeweiJs nach endlicher Zeit aktiv wird. Das Verfahren benutzt diese 
Annahme in folgender Weise: ein Fortschritt in Richtung auf einen angestrebten Zustand ist auch dadurch 
erreichbar, daB das Eintreten einer Fairness-Bedingung einen solchen Obergang erzwingt 

20 ttu J • f. us jan dsm « n ^ P bezeichne acx(P) die Menge all der Zustande, fur die in einem Schritt ein 

U bergang in die Menge P erzwingbar ist 

Die groBte stabilisierbare Teilmenge von P kann berechnet werden wie unter 3. beschrieben. 
Die Bezeichnungen winnj, winXn, aux^ stehen fur Zustandsmengen, die im Laufe des Verfahrens berechnet 
25 weroeni 

Verfahren 

Der folgende Algorithmic wird fur jedes Paar "Prae — Target" durchgefuhrt 
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(1) Setze win 0 />: = grdBte stabilisierbare Teilmenge von Target, 

(2) wiederhole die Schritte (3) bis (10) f ur n = 0, 1, 2, . . . , solange bis gilt 

win n +i,o = winn.o 

(3) wiederhole die Schritte (4) und (5) fur j = 0, 1, 2, ... , solange bis gilt 
winnj +i - winnj 
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(4) setze wiiinj+i := winnj U acx(winnj); <L h. Die Menge winnj+i besteht aus alien Zustanden der Menge 
winnj zuzughch der Zustande, von denen aus in einem Schritt ein Obergang in die Menge winnj erzwingbar 

SchtS ^ in ^ ^ daB ' WCnn immer die Men * e winnj + 1 

45 (6) setze winX n : = winnj, 

(7) wiederhole die Schritte (8) und (9) fur jede Fairness-Bedingung Fain: 

(8) setzeauxn4:= groBte stabilisierbare Teilmenge von (winX„ U (Menge der Zustande S, so daB cilt- 
falls Sin Fain liegt,dannistjederFo!gezustand in winX„)), * ~ 

(9) schranke die Obergangsf unktion Delta in der Weise ein, daB, wenn immer moglich, die Menge auxnj nicht 
so mehr verlassen wird, 

(10) setze schlieB!ichwin n +i,o:= auxn,i Uauxn^ U ... U auxn*. 

Erfolgskriterium 

55 Die erzeugte Steuerung ist dann korrekt, wenn am SchluB foigendes gilt: 

(1) Der Anfangszustand des Systems liegt in der Menge win n ,o. 

(2) Fur jeden Zustand in winn,o liegen auch alle Folgezustande in winnA 

60 Im Fig, 6 ist das Verfahren nochmals als Ablaufplan dargestellL 

Nachfolgend wird ein komplettes Codebeispiel fur den Hubdrehtisch angegeb n: 
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rcSLxtC defur Hubdrehtisch V 

decITyp(rot_table f 

sensorjzustaende: [ 

part_present: [ ja, nein], 

verticaLpos: [ low, between Jow_high, high ] f 

rotary_pos: [ rotO, between_rot0_rot45, rot45 ]], 

ausgangs_zustaende: [ 

• moving_state: [ stop, up, down J, 

rotation_state: [ rot_stop, rot_plus, roLminus ]], 

process_description:[ 

quaLderiv :[vertical_pos t low, between Jow_high, high, 

moving_state f stop, up, down], 
quaLderiv :[rotary_pos, rotO, between_jot0_rot45, rot45 

rotation_state, roLstop, rot_p!us, rot_minus, JJ, 

safety_requirements: 

/*Tisch nicht tiefer als "low" absenken*/ 

nicht (verticaLpos = low A rnoving_state = down) /* (etc. fuer die an- 
deren Grenzen )*/ 

r Tisch in Stellung "low" nicht rotieren 7 
A ((verticaLpos = low) —> 

(rotation_state = roLstop) A (rotary_pos = rotO)), 

function:[ 

parLpresent ist ja - 

(verticaL pos= high) a (rotary_ pos= rot45), 
parLpresent ist nein - 

(rotary_ pos= rotO)A (verticaL pos= low)] 

]. 

/* END TYP rateable V 

Patentanspruche 

1. Verfahrcn zur automattschen Erzeugung einer Steuerung fur einen ProzeB, 

a) bei dem ein nicht deterministischer Automat, der alle physikalisch mdglichen Verhaltensweisen der 
Steuerung beschreibt, festgelegt wird, 

b) bei dem die erlaubten ZustandsQbergange des von der Steuerung zu beeinflussenden Prozesses 
beschrieben werden, 

c) bei dem der Automat so eingestellt wird, daB er vorgegeben Sicherheitsbedingung n erf ullt, 

d) bei dem der Automat so eingestellt wird, daB er die Funktion des aus Steuerung und ProzeB 
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bestehenden Systems erfudt 

2. Verfahren nach Anspruch 1, 

bei dem zur Einsteliung der Sicherheitsbedingungen die groBte stabilisierbar Teilmenge der als zulassig 
spezif izierten Zustandsmenge iterativ bestimmt wird, 
5 bei dem die Obergangsf unktion des Automaten so eingestelit wird, daB nur jeweils Folgezustande gewahlt 

werden, die in dieser groBten stabilisierbaren Menge liegen. 

3. Verfahren nach Anspruch 2, bei dem zur Einhaltung der Sicherheitsbedingungen fur das System aus 
Steuerung und ProzeB folgende Zustande bei der Realisierung ausgeschiossen werden: 

jeder Zustand der Steuerung, bei dem alle Folgezustande die Sicherheitsbedingungen nicht erf ullen 
10 jeder Zustand des Prozesses, bei dem mindestens ein Folgezustand die Sicherheitsbedingungen nicht erf ullt 

4. Verfahren nach cincm der vorhergehenden Anspruche, bei dem zur Einsteliung der Funktion des Systems 

— die Funktion durch Angabe bedingter Zielzustande definiert wird, 

iterativ die Menge all derjenigen Zustande bestimmt wird, von denen aus der Obergang in einen 
Zielzustand in endlich vielen Schritten erzwungen werden kann, 
is — die Obergangsfunktion dadurch eingeschrankt wird, daB, wenn moglich, solche Obergange ausge- 

f uhrt werden, die zum Zielzustand f uhren. 
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